MyBB.de Forum

Hallo,

ich hab im Forum die Version, die im Profil bei mir angegeben ist.

Wenn ich unter "Suche" folgendes reinschreibe "<foo> <h1> <script> alert (bar) () ; // ' " > < prompt \x41 %42 constructor onload" bekomme ich folgende Fehlermeldung:

"
MyBB has experienced an internal SQL error and cannot continue.
SQL Error:
1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'LOWER(t.subject) LIKE '%> < prompt \x41 \%42 constructor onload%')' at line 3
Query:
SELECT t.tid, t.firstpost FROM mybb_threads t WHERE 1=1 AND t.closed NOT LIKE 'moved|%' AND ( LOWER(t.subject) LIKE '%
"

Was kann ich dagegen machen?

Gruß

Mal eine Gegenfrage.

Wieso gibt man denn solch eine Suchanfrage da ein ?

Ich wurd darüber gerade per PN auf meinem Forum aufmerksam gemacht.

Kann ich solche SQLi vorbeugen?

Naja, wer dies eingibt bekommt den Fehler erzeugt, und nicht alle anderen. Von daher ist das nicht si tragisch.

Naja weit aus tragisch ist es nicht, jedoch würd ich dagegen was vornehmen. Gibt es keine Möglichkeiten, dies vorzubeugen?

(31.10.2014, 17:56)KaSo schrieb: [ -> ]...ich hab im Forum die Version, die im Profil bei mir angegeben ist.

Dann verschiebe ich das auch mal vom 1.8er Bereich in den Bereich von MyBB 1.6


Sei froh, dass Du eine Fehlermeldung erhältst. Mit so einem Unsinn kann man ein Forum mal ganz schnell aus den Fugen heben, wenn entsprechende Queries auch tatsächlich ausgeführt würden......

Wenn die 1.6* noch in der Weiterentwicklung stecken würde, würde man bestimmt da einen Filter einbauen. Dies ist aber nicht der Fall, und es öffnet sich damit auch kein Sicherheitsloch.

Wenn ich das richtig verstanden habe, kann man das garnicht vorbeugen?

Richtig

Der Bug wurde bereits mit MyBB 1.6.13 behoben. Allerdings handelt es sich hierbei um keine Sicherheitslücke.